Société Générale : les actions correctives sur l'informatique sont en cours jusqu'en 2010
Bien que la fraude ne soit pas imputable à des dysfonctionnements du système d'information, selon le cabinet d'audit PriceWaterhouseCoopers, d'importants chantiers de sécurisation sont en cours à la Société Générale. Durcissement des authentifications, meilleure gestion des habilitations, s'étaleront jusqu'en 2010. En dehors du rapport de l'inspection générale de la Société Générale soulignant des indices d'une complicité d'un assistant trader avec Jérôme Kerviel, la banque a publié deux autres documents le Vendredi 23 mai. Ils présentent les actions correctives enclenchées. Les objectifs sont qu'il ne soit plus possible de court-circuiter les contrôles métiers et hiérarchiques lors des opérations de courtage. 100 millions d'euros et 200 personnes Un premier document de 13 pages est émis par le comité d'administration. Il présente le rapport du comité spécial. Le comité préconise des investissements significatifs en matière de sécurité informatique, tant en termes de sécurisation des applications et de l'infrastructure technique, que de gestion des comptes et des habilitations, de systèmes d'authentification renforcée et de détection des anomalies. Ces projets déjà lancés doivent pour l'essentiel aboutir au cours du premier semestre 2009, même si les investissements informatiques se poursuivront jusqu'en 2010. Ils mobilisent près de 200 personnes et coûteront plus de 100 millions d'euros sur deux ans. Ces démarches en cours voient leur pertinence renforcée, estime le comité spécial, par l'intégration de chantiers traitant de vulnérabilités préexistantes au sein de l'organisation, en matière de sécurité informatique, de traitement des suspens, de réconciliations et d'opérations manuelles. Renforcer l'authentification pour accéder aux applications Un deuxième document de 37 pages a été publié. Il s'agit des préconisations d'un cabinet d'audit externe, PriceWaterhouseCoopers (PwC) dont sont tirées certaines des conclusions du comité spécial. Les remèdes indiqués par PwC au chapitre informatique sont nombreux. PwC préconise : le changement régulier des mots de passe sur les applications sensibles ; un contrôle renforcé d'authentification pour accéder aux applications les plus sensibles (la biométrie est ... ...évoquée mais comme un pilote technologique plutôt que comme un véritable contrôle) ; la suppression des accès du front office en écriture sur les applications du middle office et la fiabilisation du dispositif de production de données nécessaires au contrôle. Les nombreuses extractions informatiques sur lesquelles s'appuient les contrôles revus, n'ayant fait l'objet que d'une recette succinte. Un quart des applications PwC liste l'état d'avancement de ces chantiers. Le changement régulier des mots de passe a comme cible le 4ème trimestre de 2008. Au 30 avril 2008, l'action n'a été déployée que sur un quart des applications visées à court terme. La biométrie est en pilote au sein du middle office, de l'équipe Delta One, afin de remplacer les identifiants et les mots de passe de Windows. Des opérateurs ne sont pas équipés, et des cartes biométriques sont laissées en libre accès. « Nous considérons cette action en cours de mise en oeuvre indique PwC. Autre point, interdire les écritures depuis le front office sur les applications du middle office doit être achevé en Juin 2009. La mise en place est déployée sur une des trois applications cibles. Pour la 2 ème application, il faudra des développements informatiques. Pour la 3 ème application, Pwc a identifié de nombreuses exceptions. Ce chantier avait déjà été identifié par la SG CIB qui l'avait lancé. Une fraude non liée aux dysfonctionnements informatiques Bien que la fraude ne trouve pas son origine dans les dysfonctionnements du système d'information, souligne PwC, l'analyse de la fraude a montré des faiblesses dans la sécurité informatique. Certaines applications dataient d'une dizaine d'années. Ce qui explique les lacunes. Le chantier sur la sécurité informatique a pour échéance 2010. Parmi les développements en cours : la gestion des comptes et des habilitations pour une série d'applications considérées comme sensibles. Il doit y avoir un passage en revue régulier des ... ... comptes, avec une suppression et un ajout automatisés. Dans ce domaine, une cinquantaine d'applications prioritaires, parmi les applications sensibles doivent être traitées en 2008. Un mécanisme renforcé d'authentification pour l'accès aux applications sensibles doit être installé. Un système de SSO PwC propose la réduction du nombre de mots de passe nécessaires pour accéder aux informations, pour une même personne, en centralisant leur gestion dans un système unique. Un logiciel doit permettre aux utilisateurs de stocker leurs mots de passe de façon sécurisée. Ces mesures doivent être achevées à la fin de 2009. Parmi les faits particuliers qui ont l'air de traduire des failles banalisées en salles de marché - en dehors de voir les mots de passe écrits sur des post-it -, on relève que PwC entend interdire la possibilité de se connecter à des applications via des mots de passe enregistrés dans des feuilles de calcul. PwC demande que l'on sécurise les vulnérabilités au sein de l'application principale de gestion des transactions du pôle « Actions ». Ce chantier est en cours jusqu'en 2010 pour les autres applications. De même, il faut améliorer les processus de gestion de la sécurité. Le contrôle de conformité avec la politique globale de sécurité doit être renforcé et la gestion des correctifs de sécurité améliorée. Il faut aussi prendre en compte les problématiques de sécurité en amont des projets informatiques. Sept faux emails forgés Petite astuce, PwC propose de détecter les anomalies en contrôlant la concordance entre l'utilisateur d'une application et le poste de travail utilisé. Cela concerne une trentaine d'applications considérées comme prioritaires d'ici la fin de l'année. Au final, il faut donc améliorer la gestion des comptes et des habilitations, renforcer l'authentification, une gestion centralisée des mots de passe et un renforcement de la sécurité des applications. La prioritisation des actions demande PwC, doit tenir compte de la criticité des applications vis-à-vis des risques de fraude. Cette action de prioritisation doit être achevée pour juin 2008. Reste que l'on peut se demander si toutes les actions enclenchées d'un point de vue informatique sont aussi indispensables que cela. Selon un rapport de l'inspection générale de la Société Générale, c'est notamment via sept faux emails que Jérôme Kerviel aurait pu justifier des transactions fictives. Rien dans ce qui est proposé par PwC ne permet à priori d'empêcher de forger de faux emails à nouveau.